JFrog Güvenlik Araştırma Ekibi, büyük dil modeli istemcilerinin uzak sunucularla iletişim kurmasını sağlayan ve potansiyel olarak saldırganların uzaktan kod yürütme yoluyla tam sistem uzlaşmasına izin veren yaygın olarak kullanılan bir araç olan MCP-Remote’da kritik bir güvenlik açığı keşfetti.
Şiddetli güvenlik kusuru popüler AI aracını etkiler
Kritik CVSS skoru 9.6 ile derecelendirilen CVE-2025-6514, 0.0.5 ila 0.1.15 MCP-Remote sürümlerini etkiler. Güvenlik açığı, saldırganların güvenilmeyen model bağlam protokolü (MCP) sunucularına bağlandığında MCP-Remote’u çalıştıran makinelerde keyfi işletim sistemi komutu yürütmesini tetiklemesine olanak tanır.
Bu, MCP istemci-sunucu iletişimini içeren gerçek dünya senaryosunda tam uzaktan uzak kod yürütme elde etmek için ilk belgelenmiş durumunu temsil eder.
MCP-Remote Aracı, Claude masaüstü, imleç ve Windsurf gibi LLM ana bilgisayarlarının, yalnızca yerel sunucu bağlantılarını doğal olarak destekleseler bile uzak MCP sunucularıyla iletişim kurmasını sağlayan bir proxy görevi görür.
Uzak MCP uygulamaları AI topluluğunda popülerlik kazandıkça, MCP-Remote, Cloudflare’nin resmi rehberlerinde, Auth0 entegrasyon materyallerinde ve sarılma yüz öğreticilerinde görünen belgelerle geniş çapta benimsenmiştir.
Saldırı vektörleri ve etki
Güvenlik araştırmacıları iki temel saldırı senaryosu belirledi. İlk olarak, kötü niyetli aktörler, güvenilmeyen veya kaçırılmış MCP sunucularına bağlanan MCP istemcilerini doğrudan tehlikeye atabilir.
İkincisi, yerel ağlarda konumlandırılan saldırganlar, HTTPS protokolleri yerine HTTP kullanarak MCP sunucularına güvensiz bir şekilde bağlanan müşterilere karşı ortadaki insan saldırıları yapabilir.
Güvenlik açığı MCP-Remote’un OAuth yetkilendirme akışını kullanır. Bağlantılar oluştururken araç, yetkilendirme uç noktaları dahil olmak üzere sunucu meta verilerini ister.
Kötü amaçlı sunucular, MCP-Remote bunları bir tarayıcıda açmaya çalıştığında komut enjeksiyonunu tetikleyen özel hazırlanmış yetkilendirme uç noktası URL’leri ile yanıt verebilir.
Windows sistemlerinde, araştırmacılar tam parametre kontrolü ile tam keyfi komut yürütme gösterdiler.
MacOS ve Linux platformlarında güvenlik açığı, sınırlı parametre kontrolüne sahip keyfi yürütülebilir ürünlerin yürütülmesini sağlar, ancak daha fazla araştırma bu sistemlerde de komut yürütmeyi tamamlamak için yollar ortaya çıkarabilir.
MCP-Remote’un birincil bakımcısı Glen Maddern, sorumlu açıklamanın ardından kırılganlığı derhal ele aldı.
Kullanıcılar, güvenlik kusuru için kapsamlı düzeltmeler içeren 0.1.16 sürümüne güncelleyerek kendilerini koruyabilir.
Ek koruyucu önlemler, yalnızca güvenli HTTPS bağlantılarını kullanarak güvenilir MCP sunucularına bağlanmayı ve saldırganlar tarafından kesilebilecek veya manipüle edilebilecek HTTP tabanlı iletişimlerden kaçınmayı içerir.
Model bağlam protokolü, Kasım 2024’te AI asistanlarının harici veri kaynaklarına, araçlarına ve hizmetlere gerçek zamanlı olarak güvenli bir şekilde erişmelerini sağlayan açık bir standart olarak ortaya çıktı.
Başlangıçta yerel sunucu dağıtımları için tasarlanan protokol, uzaktan uygulamaları desteklemek için hızla gelişti ve birden fazla LLM uygulamasını yöneten kuruluşlar için operasyonel karmaşıklığı azalttı.
Son gelişmeler, imleç ve rüzgar sörfü doğrudan uzaktan bağlantı uygulayarak ve antropik olarak bu özelliği ücretli Claude masaüstü abonelerine genişleten büyük LLM sağlayıcılarının yerel uzaktan MCP desteği eklediğini göstermektedir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.